다음을 통해 공유

Microsoft Defender for Identity 보안 경고

  • 아티클

참고

이 페이지에 설명된 환경은 Microsoft Defender XDR 일부로 에서 https://security.microsoft.com 액세스할 수 있습니다.

Microsoft Defender for Identity 보안 경고는 네트워크의 Defender for Identity 센서에서 검색한 의심스러운 활동과 각 위협에 관련된 행위자와 컴퓨터를 설명합니다. 경고 증명 목록에는 조사를 쉽고 직접적으로 수행하는 데 도움이 되는 관련 사용자 및 컴퓨터에 대한 직접 링크가 포함되어 있습니다.

Defender for Identity 보안 경고는 일반적인 사이버 공격 킬 체인에서 볼 수 있는 단계와 같은 다음 범주 또는 단계로 나뉩니다. 각 단계, 각 공격을 감지하도록 설계된 경고 및 다음 링크를 사용하여 네트워크를 보호하는 데 도움이 되는 경고를 사용하는 방법에 대해 자세히 알아봅니다.

  1. 정찰 및 검색 경고
  2. 지속성 및 권한 에스컬레이션 경고
  3. 자격 증명 액세스 경고
  4. 횡적 이동 경고
  5. 기타 경고

모든 Defender for Identity 보안 경고의 구조 및 일반적인 구성 요소에 대한 자세한 내용은 보안 경고 이해를 참조하세요.

보안 경고 이름 매핑 및 고유한 외부 ID

다음 표에서는 경고 이름, 해당 고유 외부 ID, 심각도 및 MITRE ATT&CK Matrix™ 전술 간의 매핑을 나열합니다. 스크립트 또는 자동화와 함께 사용하는 경우 보안 경고 외부 ID만 영구적이며 변경될 수 없으므로 경고 이름 대신 경고 외부 ID를 사용하는 것이 좋습니다.

외부 ID

보안 경고 이름 고유 외부 ID 심각도 MITRE ATT&CK 행렬™
의심되는 SID-History 주입 1106 높음 권한 상승
의심되는 고가도로 해시 공격(Kerberos) 2002 보통 측면 이동
계정 열거 정찰 2003 보통 검색
의심되는 무차별 암호 대입 공격(LDAP) 2004 보통 자격 증명 액세스
의심되는 DCSync 공격(디렉터리 서비스 복제) 2006 높음 자격 증명 액세스, 지속성
DNS(네트워크 매핑 정찰) 2007 보통 검색
오버패스 해시 공격 의심(강제 암호화 유형) 2008 보통 측면 이동
의심되는 골든 티켓 사용(암호화 다운그레이드) 2009 보통 지속성, 권한 상승, 횡적 이동
의심되는 스켈레톤 키 공격(암호화 다운그레이드) 2010 보통 지속성, 횡적 이동
사용자 및 IP 주소 정찰(SMB) 2012 보통 검색
의심되는 골든 티켓 사용(위조된 권한 부여 데이터) 2013 높음 자격 증명 액세스
Honeytoken 인증 활동 2014 보통 자격 증명 액세스, 검색
의심되는 신원 도용(pass-the-hash) 2017 높음 측면 이동
의심되는 신원 도용(패스 더 티켓) 2018 높음 또는 중간 측면 이동
원격 코드 실행 시도 2019 보통 실행, 지속성, 권한 상승, 방어 회피, 횡적 이동
Data Protection API master 키의 악의적인 요청 2020 높음 자격 증명 액세스
SAMR(사용자 및 그룹 멤버 자격 정찰) 2021 보통 검색
의심되는 골든 티켓 사용(시간 변칙) 2022 높음 지속성, 권한 상승, 횡적 이동
의심되는 무차별 암호 대입 공격(Kerberos, NTLM) 2023 보통 자격 증명 액세스
중요한 그룹에 의심스러운 추가 2024 보통 지속성, 자격 증명 액세스,
의심스러운 VPN 연결 2025 보통 방어 회피, 지속성
의심스러운 서비스 만들기 2026 보통 실행, 지속성, 권한 상승, 방어 회피, 횡적 이동
의심되는 골든 티켓 사용(존재하지 않는 계정) 2027 높음 지속성, 권한 상승, 횡적 이동
의심되는 DCShadow 공격(도메인 컨트롤러 승격) 2028 높음 방어 회피
의심되는 DCShadow 공격(도메인 컨트롤러 복제 요청) 2029 높음 방어 회피
SMB를 통한 데이터 반출 2030 높음 반출, 횡적 이동, 명령 및 제어
DNS를 통한 의심스러운 통신 2031 보통 유출
의심되는 골든 티켓 사용(티켓 변칙) 2032 높음 지속성, 권한 상승, 횡적 이동
의심되는 무차별 암호 대입 공격(SMB) 2033 보통 측면 이동
메타스플로이트 해킹 프레임워크의 사용 의심 2034 보통 측면 이동
의심되는 WannaCry 랜섬웨어 공격 2035 보통 측면 이동
DNS를 통해 원격 코드 실행 2036 보통 횡적 이동, 권한 상승
의심되는 NTLM 릴레이 공격 2037 서명된 NTLM v2 프로토콜을 사용하여 관찰되는 경우 중간 또는 낮음 횡적 이동, 권한 상승
LDAP(보안 주체 정찰) 2038 높음(해결 문제 또는 특정 도구가 검색된 경우) 및 중간 자격 증명 액세스
의심되는 NTLM 인증 변조 2039 보통 횡적 이동, 권한 상승
의심되는 골든 티켓 사용(RBCD를 사용한 티켓 변칙) 2040 높음 지속성
의심되는 악성 Kerberos 인증서 사용 2047 높음 측면 이동
BronzeBit 메서드를 사용한 의심스러운 Kerberos 위임 시도(CVE-2020-17049 악용) 2048 보통 자격 증명 액세스
LDAP(Active Directory 특성 정찰) 2210 보통 검색
의심되는 SMB 패킷 조작(CVE-2020-0796 악용) 2406 높음 측면 이동
의심되는 Kerberos SPN 노출 2410 높음 자격 증명 액세스
의심되는 Netlogon 권한 상승 시도(CVE-2020-1472 악용) 2411 높음 권한 상승
AS-REP 로스팅 공격 의심 2412 높음 자격 증명 액세스
의심되는 AD FS DKM 키 읽기 2413 높음 자격 증명 액세스
Exchange Server 원격 코드 실행(CVE-2021-26855) 2414 높음 측면 이동
Windows Print Spooler 서비스에서 의심되는 악용 시도 2415 높음 또는 중간 측면 이동
파일 시스템 원격 프로토콜 암호화를 통한 의심스러운 네트워크 연결 2416 높음 또는 중간 측면 이동
의심스러운 Kerberos 티켓 요청 2418 높음 자격 증명 액세스
sAMNameAccount 특성의 의심스러운 수정(CVE-2021-42278 및 CVE-2021-42287 악용) 2419 높음 자격 증명 액세스
AD FS 서버의 트러스트 관계가 의심스러운 수정 2420 보통 권한 상승
dNSHostName 특성의 의심스러운 수정(CVE-2022-26923) 2421 높음 권한 상승
새로 만든 컴퓨터의 의심스러운 Kerberos 위임 시도 2422 높음 권한 상승
컴퓨터 계정으로 리소스 기반 제한된 위임 특성의 의심스러운 수정 2423 높음 권한 상승
의심스러운 인증서를 사용한 AD FS(비정상적인 Active Directory Federation Services) 인증 2424 높음 자격 증명 액세스
PKINIT(Kerberos 프로토콜)를 통한 의심스러운 인증서 사용 2425 높음 측면 이동
분산 파일 시스템 프로토콜을 사용한 의심되는 DFSCoerce 공격 2426 높음 자격 증명 액세스
Honeytoken 사용자 특성 수정됨 2427 높음 지속성
Honeytoken 그룹 멤버 자격 변경됨 2428 높음 지속성
LDAP를 통해 Honeytoken을 쿼리했습니다. 2429 낮음 검색
도메인 AdminSdHolder의 의심스러운 수정 2430 높음 지속성
섀도 자격 증명을 사용하여 의심되는 계정 인수 2431 높음 자격 증명 액세스
의심스러운 도메인 컨트롤러 인증서 요청(ESC8) 2432 높음 권한 에스컬레이션
인증서 데이터베이스 항목의 의심스러운 삭제 2433 보통 방어 회피
AD CS 감사 필터의 의심스러운 사용 안 함 2434 보통 방어 회피
AD CS 보안 권한/설정에 대한 의심스러운 수정 2435 보통 권한 에스컬레이션
LDAP(계정 열거 정찰)( 미리 보기) 2437 보통 계정 검색, 도메인 계정
디렉터리 서비스 복원 모드 암호 변경 2438 보통 지속성, 계정 조작
HONEYtoken은 SAM-R을 통해 쿼리되었습니다. 2439 낮음 검색
그룹 정책 변조 2440 보통 방어 회피

참고

보안 경고를 사용하지 않도록 설정하려면 지원에 문의하세요.

참고 항목